雲端儲存是許多現代企業的基礎技術,可幫助儲存大量資料,客戶可以輕鬆存取和使用這些資料來支援各項資料專案。Google Cloud 也在保護客戶資料(包括 Cloud Storage 資料)方面不遺餘力。
對於每項 Google Cloud 產品而言,安全性始終是首要任務。隨著企業儲存需求的增長,我們的安全性和合規性保護也將增長。 一般情況下,Cloud Storage 透過豐富的安全控制功能和根據需求進行稽核的功能來保護資料。Bucket Lock、Cloud Key Management Service (KMS) 和Access Transparency 等功能已經可以幫助確保資料在 Cloud Storage 中的安全。我們宣布進一步的產品更新(現已普遍推出)可以保護您的資料,即使在複雜的多雲環境中也是如此。 讓我們看一下 Cloud Storage 中可用的一些全新資安功能。
雲端儲存安全性的新功能
Cloud Storage V4 簽章支援
Google Cloud 現已正式推出 Cloud Storage V4 簽章支援。V4 簽章功能使客戶能夠產生具有有限權限和持續時間的簽章 URL(也稱為預簽 URL,pre-signed URL),他們可以將其發佈給不需要 Google 身份的客戶/客戶。基於簽章的身份驗證(尤其是透過簽章的 URL)是一種非常常見的安全措施,用於內容儲存和交付、SaaS 平台與應用程式,以及分析(企業資料倉儲和 data pipelines)。您可以在此處查看 signature-based 的多媒體內容儲存和發佈設定來作為例子。
適用於 Cloud Storage 服務帳戶的 Hash-based 資訊身份驗證
現在您可以管理並使用與 Cloud Storage 服務帳戶(而不是客戶帳戶)關聯的 Hash-based 資訊身份驗證 (hash-based message authentication, HMAC) 憑據。此功能無需依賴與客戶帳戶綁定的憑據,從而強化身份驗證和安全性。此功能還使您可以在安全性、身份驗證設定和實務方面在多個雲端供應商之間直接的互相操作。
對 Cloud IAM 統一的 bucket-level access
Cloud Storage 對 Cloud Identity 和 Access Management (Cloud IAM) 的支援,使您可以按角色將存取策略應用於 Cloud Storage 客戶以及其它 Google Cloud 產品上。新的統一儲存 bucket-level access 功能使您可以透過 Cloud IAM 策略統一設定對 Cloud Storage 資源的存取,從而實作大規模的可管理性。在 bucket 上被啟用後,只有儲存 bucket-level 的Cloud IAM權限才能授予對該儲存bucket及其包含的物件的存取權限。
將雲端儲存安全性付諸實踐
保護企業儲存資料需要提前考慮以保護資料免受新的威脅和挑戰。 我們經常會聽到使用 Cloud Storage 的客戶他們的最佳做法和秘訣,說明他們如何使用 Google Cloud 產品來增強公司的安全性。
以下是使用這些新功能並幫助防止資料外洩或駭客入侵的五個建議:
- 啟用 Uniform bucket-level access 存取權限及組織政策
透過 Cloud Storage 的 Uniform bucket-level access 存取,您可以為 bucket 設定和實作統一的 Cloud IAM 策略。啟用此功能還可以確保您免受任何物件層級 ACL 的侵害,這成為管理存取(尤其是大規模存取)的挑戰。此功能還提供了一種組織策略,允許您根據需求在所有新 bucket 上強制使用統一的 IAM 存取策略。在 bucket 層級執行 IAM 策略可以幫助防止意外公開,如果客戶將單個物件公開,在沒有此功能的情況下,可能會發生這種情況。
此功能對客戶來說非常有用,尤其是金融服務和大型高科技行業的客戶。它可以讓您在需要眾多開發人員/員工中存取資料,但無法在公司外部公開的情況下大規模管理統一權限。
2.啟用領域限制分享 (domain-restricted sharing)
啟用 Uniform bucket-level access 存取後,Cloud Storage 中另一個實用工具,是在組織策略中實作領域限制 (domain-restricted) 的分享,以防止有人意外將資料分享到組織外。借助此功能,組織和開發團隊可以快速行動,而安全和治理團隊可以大規模實作安全性,並相信資源擁有適當的控制權。可以將 domain-restricted sharing 與 uniform bucket-level access 存取結合使用,以設定存取控制策略,並防止意外的公開暴露。
3.使用 Cloud KMS 將您的 Cloud Storage 資料進行加密
資料存取和控制的法規越來越嚴格。舉例來說,GDPR 使許多公司改變了收集、儲存和處理個人資訊的方式,而其關鍵在於加密金鑰管理。Cloud KMS 是 Cloud Storage 支援的一種雲端代管密鑰管理服務,可讓您管理雲端儲存資料的加密密鑰。您可以製作、使用、輪轉和銷毀 AES256、RSA 2048、RSA 3072、RSA 4096、EC P256 和 EC P384 加密密鑰。此功能提供了最新的加密管理,可以幫助您制定各種法規。
4.使用 Cloud Audit Logs 稽核您的雲端儲存資料
Cloud Audit Logs 使您可以查看客戶活動以及整個 Google Cloud(包括Cloud Storage)中的資料存取。Cloud Audit Logs 在高度受保護的雲端儲存中,從而產生安全、不變且高度持久的稽核追蹤。您還可以使用 Operations(舊稱 Stackdriver)API 撰寫程式存取,並將Cloud Storage 稽核記錄擷取到您的威脅檢測分析系統中。
5.使用 VPC 服務控制保護資料
借助 VPC 服務控制 (VPC Service Control),您可以圍繞 Cloud Storage 服務的資源設定安全邊界,並控制跨邊界邊界的資料外洩。例如,作為服務範圍一部分的 VPC 網路中的 VM 可以從 Cloud Storage bucket 中讀取/寫入。任何來自外部的存取就會遭到拒絕。您可以將 Cloud Storage bucket 置於 VPC Service Control 安全邊界之後,您可以為 Cloud Storage 資料提供類似於私人雲端的安全狀態。
要進一步了解 Cloud Storage 以及增強資料保護和安全性的方法,請查看存取控制文件以及 Google Cloud 在 Cloud Next ‘19 上的介紹。
(原文翻譯改編自 Google Cloud。)